SSD Wipe para eliminar el malware conocido y desconocido [duplicar]

1

¿Alguien sabe de un método para limpiar un disco duro que ofrezca un alto grado de confianza de que cualquier malware presente no se mantendrá cuando se reinstale el sistema operativo? ¿Usando herramientas en Linux y / o Windows?

Tenemos aproximadamente 70 SSD que varían en tamaño desde 480 gb-1 TB de una variedad de fabricantes extraídos de estaciones de trabajo comprometidas por un estado extranjero hostil. La red se vio comprometida cuando varias estaciones de trabajo fueron reconstruidas utilizando una imagen de Win 10 que luego se encontró que contenía puertas traseras / código malicioso como resultado de un ataque organizacional más amplio.

Las máquinas en sí mismas han sido reemplazadas, solo nos gustaría evitar las SSD. Se han tomado medidas para bloquear la red en la que se sentarán, con muy poco tráfico permitido entre los hosts. También hay un alto grado de monitoreo de la red en el lugar en busca de patrones / comportamientos identificados durante la violación original ... Por lo tanto, tenemos un alto nivel de confianza en caso de que un código malintencionado se identifique y contenga.

La organización más grande está en proceso de reconstrucción desde cero, sin embargo, la red en cuestión estaba bajo el control de una entidad separada, donde se requiere la necesidad de un enfoque más económico.

Editar: se cree que el actor extranjero es del lejano oriente o un aliado cercano. La organización objetivo era un departamento del gobierno federal en un país que es miembro de los cinco ojos.

Este fue un ataque dirigido avanzado, con un código de inicio comprometido encontrado en los escritorios y servidores. Si bien no se encontró evidencia de firmware SSD / HDD malicioso, no se puede descartar debido a la capacidad demostrada en otras áreas. Esto definitivamente no es una ejecución del adware mill.

    
pregunta Hvdm 21.02.2018 - 13:10
fuente

1 respuesta

3

TLDR: Tíralos. Es la única opción.

Está solicitando una manera de asegurarse de que los impulsos no hayan sido alterados por un actor estatal acreditado y bien financiado. Pero no veo ninguna manera de estar seguro de que el firmware es seguro.

La mejor opción que se me ocurre es leer el firmware de una unidad potencialmente comprometida y una unidad sin control conocido del mismo modelo, luego hacer una comparación. El problema con esta estrategia es que debe confiar en la unidad potencialmente comprometida para informar con precisión lo que hay en su firmware. Pero la unidad está potencialmente comprometida , por lo que no puede confiar en ella. ¿Cómo puede estar seguro de que no devuelve datos diferentes para el acceso de diagnóstico v. Uso real.

Sé que esto suena inverosímil, pero le estás asignando gran habilidad y recursos a los atacantes. Tirar las unidades y comer el costo. Lo sentimos :(

    
respondido por el Neil Smithline 25.02.2018 - 18:19
fuente

Lea otras preguntas en las etiquetas